Có một danh sách đầy đủ về những gì Windows đăng nhập hoặc có thể đăng nhập?


21

Tôi biết rằng có nhật ký sự kiện, nhưng đó không phải là nơi nó dừng lại. Có nhật ký cho các tệp thực thi MSI, nhật ký thiết bị, thiết lập và cài đặt, nhật ký hiệu suất, v.v. Đây có lẽ là một danh sách khá dài; tuy nhiên, nơi tôi có thể tìm thấy một danh sách đầy đủ các bản ghi Windows?

Theo sở thích, sẽ có ích khi có một danh sách đi xa hơn chỉ là những gì được mặc định; như để biết mỗi logger làm gì, cái nào không được bật theo mặc định, cái nào có thể (')) được bật, ...

Bạn có biết bất kỳ danh sách như vậy? Bất cứ ai lên để xây dựng một danh sách như vậy?


1
Ngoài bất kỳ câu trả lời nào, người ta có thể sử dụng powershell để viết các sự kiện của riêng họ vào nhật ký sự kiện, do đó, bất kỳ tập lệnh hoặc ứng dụng Windows nội bộ nào cũng có thể ghi vào nhật ký sự kiện. Điều quan trọng cần nhớ là ' Windows ' không thực hiện ghi nhật ký trong hầu hết các trường hợp, nhưng tùy thuộc vào từng ứng dụng để ghi nhật ký các sự kiện của chính nó.
MDMoore313

Câu trả lời:


19

Vị trí đăng nhập tập trung

  • %WINDIR%\System32\confighoặc %WINDIR%\System32\winevt\Logs
    Chứa hầu hết các nhật ký sự kiện có thể truy cập từ Trình xem sự kiện.

  • %WINDIR%\Logs
    Chứa rất nhiều tệp nhật ký văn bản.

Thiết yếu bảo mật của Microsoft

  • %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
    Nhật ký thời gian chạy

  • %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
    Nhật ký cài đặt

Nhật ký cài đặt tạm thời và Windows Defender

  • %WINDIR\Temp\*.log
    Chứa thông tin về cài đặt MSI cũng như khởi động / quét Windows Defender.

  • %AppData%\Local\Temp\*.log
    Chứa thông tin về cài đặt MSI chạy trong bối cảnh của người dùng hiện tại.

Nhật ký cài đặt Windows

  • %AppData%\Local\Microsoft\Websetup(Windows 8)
    Chứa thông tin chi tiết về giai đoạn thiết lập web của Windows 8.

  • %AppData%\setupapi.log(Windows XP trở về trước)
    Chứa thông tin về thay đổi thiết bị và trình điều khiển và các thay đổi quan trọng của hệ thống, như cài đặt gói dịch vụ và hotfix.

  • %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
    Chứa thông tin về các hành động thiết lập, lỗi, cấu trúc, SID và các thiết bị thiết lập sớm. Khi cài đặt được khôi phục, các tệp này sẽ chứa thông tin rollback.

  • %WINDIR%\PANTHER\*.log,xml
    Chứa thông tin về các hành động thiết lập, lỗi, cấu trúc, SID và các thiết bị thiết lập sau này.

  • %WINDIR%\INF\setupapi.dev.log
    Chứa thông tin về các thiết bị Plug and Play và cài đặt trình điều khiển.

  • %WINDIR%\INF\setupapi.app.log
    Chứa thông tin về việc cài đặt các ứng dụng.

  • %WINDIR%\Performance\Winsat\winsat.log
    Chứa kết quả kiểm tra hiệu suất.

Dịch vụ thời gian Windows

  • Để cho phép ghi nhật ký Dịch vụ Thời gian của Windows:

    w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
    
  • Để tắt ghi nhật ký chạy Windows Time Service:

    w32tm /debug /disable
    

cập nhật hệ điều hành Window

  • %WINDIR%\WindowsUpdate.log
    Chứa tất cả các sự kiện liên quan đến Windows Update

  • %WINDIR%\SoftwareDistribution\ReportingEvents.log
    Chứa các sự kiện liên quan đến báo cáo trạng thái cập nhật phần mềm.

Công cụ quản lý và dịch vụ hình ảnh triển khai (DISM)

  • %WINDIR%\Logs\DISM\dism.log
    Chứa thông tin về các sự kiện xảy ra khi tương tác với hình ảnh Windows.

Dịch vụ dựa trên thành phần (CBS)

  • %WINDIR%\Logs\CBS\CBS.log
    Chứa thông tin về các sự kiện xảy ra khi tương tác với các thành phần và tính năng của Windows.

1
+1 Chúng tôi có thể xây dựng một danh sách như vậy bởi vì tôi nghi ngờ nếu có.
Tamara Wijsman

-1

Tôi nghĩ rằng bạn đang yêu cầu điều không thể. Có rất nhiều phần nhật ký trong Nhật ký sự kiện Windows, được truy cập bởi Windows và các ứng dụng và dịch vụ không phải của Windows, và nó khác với một phiên bản Windows tiếp theo. Trên hết, có rất nhiều tùy chọn ghi nhật ký khác, bao gồm các tệp văn bản (ví dụ: .log) và trong Cơ sở dữ liệu nội bộ của Windows .

Danh sách này sẽ rất rộng lớn và đa dạng, và sẽ phụ thuộc vào HĐH cụ thể mà bạn có và cách cấu hình.


1
@TomWijsman - Thay thế 'không thể' cho 'Không có khả năng, khó hiểu'. Và Windows Server là một phần của gia đình Windows mà bạn đưa vào thẻ của mình.
CJM

Đồng ý, mặc dù tập hợp một danh sách cơ bản nên đã là một khởi đầu tốt để có các bản ghi tầm thường nhất để xem xét. Rất có thể khi bạn đang sử dụng một cái gì đó rất cụ thể, như trên Windows Server, bạn sẽ có nhật ký sự kiện hoặc nhật ký cụ thể hơn để xem xét; mà hầu như được đề cập trong tài liệu.
Tamara Wijsman

-2

Chạy

wevtutil el

tại dấu nhắc lệnh.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>

2
Chào mừng bạn Làm thế nào về một số mở rộng trên câu trả lời của bạn? Làm thế nào điều này giúp trả lời câu hỏi? Tại sao ai đó sẽ chạy nó? Làm thế nào đây không chỉ là công cụ nhật ký sự kiện tiêu chuẩn?
Ƭᴇcʜιᴇ007
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.